Secu
Les angles morts de la sécurité informatique : la cible privilégiée des hackers !
Par La rédaction, publié le 06 juin 2024
Les cyberattaques ciblent de plus en plus les angles morts des systèmes de sécurité des entreprises, mettant parfois en lumière des vulnérabilités insoupçonnées. À travers trois études de cas, découvrez comment des failles apparemment insignifiantes peuvent conduire à des catastrophes majeures.
Par Adam Khan, VP of Global Security Operations, Barracuda XDR
La ligne de défense d’une entreprise est bien souvent assurée par une seule et même personne : l’analyste sécurité au sein du Centre des Opérations de Sécurité via un service de détection et de réponses étendues (XDR). Chaque jour, elle est assaillie d’alertes et d’événements de sécurité. À partir de ces éléments, elle doit reconstituer un puzzle où chaque pièce est une menace potentielle sur leur réseau et leurs terminaux, leurs assets cloud, leurs applications, leurs emails et leurs serveurs. Mais que se passe-t-il s’il manque une ou plusieurs pièces du puzzle ?
Dans ces cas-là, voici trois exemples de cyberattaques au sein d’entreprises illustrant une faillite des systèmes de sécurité.
Premier cas : Une attaque par ransomware d’une entreprise IT
En matière de sécurité, les angles morts sont souvent liés à une protection des appareils incomplète, une authentification faible, et le manque de visibilité de la sécurité connectée des SOC.
Souvent lors d’une première intrusion, un acteur malveillant commence par compromettre les identifiants VPN en exploitant une vulnérabilité de type zero-day. Dès lors, il va pouvoir réaliser de nombreuses actions en se déplaçant à travers le réseau : compromettre des serveurs, escalader les contrôles pour accéder à certains comptes privilégiés et manipuler les comptes et les groupes d’administrateurs, établir des canaux de communication non autorisés avec un serveur de commande et de contrôle (C&C) malveillant.
En effet, l’absence de mesures de sécurité robustes sur les différents niveaux de l’infrastructure du réseau est du « pain béni » pour un attaquant qui va pouvoir exploiter diverses vulnérabilités – ce qui va endommager et compromettre considérablement le réseau. Au cours de ce genre d’attaque, l’auteur peut utiliser toute une série d’outils pour exploiter les failles de sécurité, compromettre le système, exécuter des activités malveillantes et échapper à la détection. Il va alors se tourner vers des outils permettant de prendre le contrôle à distance, établir une connexion au réseau en continue, faciliter les mouvements latéraux ou encore favoriser l’exfiltration de données.
Lorsqu’ils sont utilisés et détectés individuellement, certains de ces outils (disponibles dans le commerce) n’éveillent pas les soupçons. Mais, entre les mains d’un pirate informatique, ils peuvent être utilisés pour des téléchargements à distance de charges utiles ou de scripts malveillants, et même pour faire de l’analyse de réseaux et identifier des ports ouverts, des services en cours d’exécution et d’autres caractéristiques du réseau. À terme, ils peuvent même être utilisés pour une exploitation plus poussée ou trouver d’autres cibles à attaquer. L’attaque par ransomware – qui comprend également l’exfiltration de données – entraîne des perturbations opérationnelles provoquant l’arrêt des services et de facto à des pertes financières conséquentes. En plus de cela, la perte de données s’accompagne souvent de dommages supplémentaires lorsqu’elle touche à la propriété intellectuelle, aux données des clients et à des violations de conformité.
Deuxième cas : La violation de données dans une entreprise manufacturière
Pour le coup, les angles morts en matière de sécurité seront plus souvent liés à de mauvaises configurations, à l’absence d’authentification et de sauvegarde accessible.
Pour ce genre d’attaques, l’auteur va vouloir exploiter des informations d’identification compromises pour s’introduire dans un serveur RDP (Remote Desktop Protocol), via un outil pour forcer un compte VPN.
Dès lors, il va chercher à profiter des mauvaises configurations de sécurité (comme l’exclusion de certains registres essentiels du système). Ces négligences critiques peuvent entraîner la compromission de plusieurs centaines d’appareils, et considérablement perturber le système ERP de l’entreprise. Par ce biais, l’auteur peut également supprimer les données de sauvegarde de l’entreprise. Comme pour le premier cas d’incident, le malfaiteur à la possibilité d’utiliser divers outils pour compromettre le système, effectuer des attaques violentes, extraire des mots de passe, rechercher des failles de sécurité et contribuer à des mouvements latéraux dans le système, ainsi que à l’exécution de codes à distance.
À nouveau : lorsqu’une faille de sécurité perturbe les activités de l’entreprise, elle va également engendrer d’importantes pertes financières. Si la compromission du réseau a interrompu les activités de production, elle viendra impacter les plans de production et toute la chaîne qui en découle. De plus, s’il y a une perte des données de sauvegarde, cela viendra prolonger le temps d’arrêt et le processus de récupération ; généralement, pour qu’une entreprise puisse reprendre ses activités, il faut compter plus de deux mois pour y arriver.
Troisième cas : L’exfiltration de données d’un retailer
Les actifs exposés publiquement, une authentification trop faible et l’absence de visibilité de la sécurité sont généralement les angles morts de sécurité mis en cause.
S’il y a un défaut de sécurité sur un serveur critique (notamment avec son RDP), il peut alors être exposé sur internet à n’importe qui. Ainsi, un attaquant peut profiter de ce canal d’accès RDP pour s’infiltrer dans le réseau, et cibler les contrôleurs de domaine. Pour brouiller les pistes, il pourra alors créer et supprimer des comptes et ainsi effacer ses traces. Grâce à ce niveau d’accès, l’auteur peut compromettre l’intégrité et la confidentialité du réseau. Il peut ensuite exfiltrer des données sensibles des serveurs et vendre ces informations sur le dark web.
Pour ce faire, généralement ces attaquants vont se servir d’un outil d’émulation des menaces qui peut être utilisé pour maintenir la continuité des activités, l’escalade des privilèges, tout en se déplaçant latéralement et exfiltrant des données. À cela s’ajoutent des outils pour « cracker des mots de passe », ainsi que des outils permettant de mieux comprendre et cartographier l’environnement de la victime en vue d’une exploitation plus poussée ultérieure. Avec la compromission des serveurs comprenant des fichiers critiques (comme des informations liées à la propriété intellectuelle et/ou à des informations sensibles sur les clients) et l’exposition publique de ces données confidentielles, il y a un fort risque d’atteinte à la réputation de l’entreprise et de briser la confiance des clients.
Aujourd’hui, il est nécessaire que les entreprises mettent en place diverses solutions de sécurité. Ces trois cas d’incidents (tout à fait communs) nous rappellent que des mesures de sécurité incomplètes peuvent rendre les organisations vulnérables à des attaques et que cela pourrait avoir des conséquences considérables – tant sur le plan financier que réputationnel. Par ailleurs, s’il y a un manque de visibilité en matière de sécurité sur l’ensemble de l’environnement IT, il sera alors plus difficile de repérer des activités suspectes, de faire le lien avec d’autres activités, et donc de pouvoir déterminer si une attaque est en cours et s’il faut réagir.
Ainsi, la sécurité des réseaux, les postes de travail, les différents serveurs et clouds, ainsi que les emails doivent pouvoir être surveillés et gérés par des solutions spécifiques. Typiquement, les solutions XDR permettent de détecter les menaces et de réagir. Ainsi, avec un spectre complet d’outils défensifs, combinés à des stratégies proactives de « chasse aux menaces » et de réponse, il est alors possible d’agir rapidement et de réduire la fenêtre de tir pour les cyberattaquants.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
